Sicherheitsfloskel: Tabellen-Präfix von WordPress ändern

Wir müssen jetzt ganz stark sein. Sie haben uns gesagt, dass das Tabellen-Präfix von WordPress geändert werden muss. Das ist irgendwie völliger Quatsch. Millionen von Betreibern eines Blogs auf Basis von WordPress werden nun am Boden zerstört sein. Wofür haben sie sich denn die ganze Arbeit gemacht? War denn alles umsonst? Zählen denn die Anleitungen der Gurus und Ninjas und sonst irgendwelchen Experten überhaupt nichts mehr?

Lassen wir alles so, wie es ist

Wir brauchen uns gar nicht die Mühe machen und das Tabellen-Präfix unserer WordPress-Installation ändern. Wenn ein Angreifer daher kommt, bekommt der das eh heraus. Denn irgendwie gibt es da diesen lustigen MySQL-Befehl, der da gern mal angewendet wird. Und der scheint der erste Befehl zu sein, den ein Angreifer hernimmt. Es ist genau dieser:

SELECT DISTINCT SUBSTRING(`TABLE_NAME` FROM 1 FOR ( LENGTH(`TABLE_NAME`)-8 ) ) 
FROM information_schema.TABLES WHERE 
`TABLE_NAME` LIKE '%postmeta';

Wer kann, sollte mal diesen Befehl ausführen. Er gibt das Tabellen-Präfix im Klartext aus. Und ob da das von WordPress vorgegebene „wp“ oder „Rumpelstilzchen“ oder sonstwas als Präfix vorhanden ist, ist völlig egal. Es wird ausgegeben. Dieses ganze Sicherheitsgerede der Experten bringt dann so gar nichts, wenn mit einem allseits bekannten Befehl alles bekannt wird.

Kommt ein Einbrecher ohne Taschenlampe?

Es ist eigentlich sehr einfach und deshalb auch einleuchtend. Das Umbenennen des Präfix ist in etwa so, als würden wir zuhause das Licht ausschalten in der Hoffnung, dass der Einbrecher dann nicht zu uns kommt, weil er ja in der Dunkelheit nichts sieht. Das ist aber Unfug. Der oben genannte Befehl ist die Taschenlampe eines Einbrechers. Haben Sie schon mal gehört, dass ein solcher keine Funzel mitbringt?

Das Hauptproblem ist doch, dass dem Einbrecher außer dem Haupteingang auch noch die Kellertür zur Verfügung steht. Oder vielleicht steht irgendwo ein Fenster offen. Mit anderen Worten: Wir machen selbst unsere WordPress-Installation anfällig. Mit umbenannten Präfix oder nicht. Wir bieten dem Einbrecher die offene Kellertür, indem wir unsere Plugins nicht aktualisieren und nicht auf Warnungen Acht geben und im Prinzip viel zu viele Plugins im Einsatz haben.

Es ist herzlich egal, ob wir im Haus das Licht ausschalten, wenn die Kellertür offen steht. Und so ist es auch herzlich egal, ob wir ein Tabellen-Präfix namens „bundesverdienstkreuz“ eingeführt haben, wenn wir Unmengen von Uralt-Plugins nutzen. Denn der beste Schutz ist immernoch die Nutzung von so wenigen Plugins wie möglich, aber so viel wie nötig, und die absolute Aktualität von Plugins, WordPress und Themes. Sonst können wir alle Inhalte offen hinstellen, so wie wir Omas Schmuckschatulle auf den Fußweg vor das Haus stellen können.

Solche Tipps sind Floskeln

Das Umbenennen des Tabellen-Präfix bringt absolut überhaupt gar nichts. Die Sicherheit einer WordPress-Installation wird dadurch nicht verbessert. Diese Umbenennung erfolgt mit irgendwelchen Plugins, die wir zusätzlich installieren müssen, was dann meinem Sicherheitsgedanken entgegen spricht. Und am Ende haben wir nichts anderes als ein beruhigendes Gefühl, etwas für die Sicherheit getan zu haben. Dennoch bringt der Lichtschalter nichts, wenn die Kellertür immernoch offen steht. Aber wem erzähle ich das?

Das könnte Sie auch interessieren:

2 Kommentare

  1. Das Umbenennen des Präfix mit Plugins? Wo hast Du denn das bloß recherchiert? :) Auch sonst ist die Argumentationsgrundlage leider etwas dünn und zudem unzureichend, da das Ändern schon sehr wohl etwas bringt, wenn man die Erwartungshaltung nicht künstlich überstrapaziert. Insgesamt ein Artikel, den ich eher nochmal überarbeiten würde :)

    1. Hallo Uwe,

      ich habe dir schon via Facebook geantwortet. Es ist leider die Erwartungshaltung. Wenn jemand bemerkt, dass in den Blog trotz Umbenennen eingebrochen wurde, wird man schnell unruhig. Deshalb lege ich sehr viel Wert darauf, dass man nach anderen Einfallstoren schaut. Und hierzu habe ich einige genannt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

×SaveYourInternet

Liebe Besucherin, lieber Besucher,

vielen Dank für Ihr Interesse. Leider steht unser Service heute nicht zur Verfügung. Wir protestieren gemeinsam mit der Autorenschaft der Wikipedia gegen Teile der geplanten EU-Urheberrechtsreform, die im Parlament der Europäischen Union Ende März verabschiedet werden soll, und schalten unsere Seite für 24 Stunden ab.

Monatelang haben EU-Kommission, EU-Parlament und der EU-Rat im sogenannten Trilog hinter verschlossenen Türen an einem neuen EU-Urheberrecht gearbeitet. Im Kern geht es darum, die finanziellen Interessen der großen Medienkonzerne gegenüber Betreibern von Internetplattformen durchzusetzen.

Ausgetragen wird dieser Konflikt auf den Rücken der Internetnutzer und Kreativen. Diese müssen nach dem aktuellen Entwurf mit erheblichen Einschränkungen rechnen. Das freie Internet, wie wir es kennen, könnte zu einem „Filternet“ verkommen, in dem Plattformbetreiber darüber entscheiden müssen, was wir schreiben, hochladen und sehen dürfen. Denn das geplante Gesetz schreibt Internetseiten und Apps vor, dass sie hochgeladene Inhalte präventiv auf Urheberrechtsverletzungen prüfen müssen. Selbst kleinere Unternehmen müssten demnach fehleranfällige, teure und technisch unausgereifte Uploadfilter einsetzen (Artikel 13) und für minimale Textausschnitte aus Presseerzeugnissen Lizenzen erwerben, um das sogenannte Leistungsschutzrecht einzuhalten (Artikel 11).

Wenn Sie unsere Kritik an der geplanten Urheberrechtsreform teilen, werden Sie aktiv: